Fuzz大法，大家可以理解為爆破字典，所以這里給大家推薦一個(gè)字典：

https://github.com/TheKingOfDuck/fuzzDicts

0X01 爆破就完事兒

一直對(duì)廠商資產(chǎn)進(jìn)?批量?錄掃描，今天上服務(wù)器看了下掃描結(jié)果，出貨了

返回信息中提供了一些可以使用的接口，繼續(xù)Fuzzzzzz，發(fā)現(xiàn)一個(gè)名為face_xxxx的接?有戲，直接訪問(wèn)

405錯(cuò)誤，很顯然，得改變傳參方式，使用post傳參，隨便傳了個(gè)過(guò)去，提示content-type was unsupported

那就Fuzzzz content-type，F(xiàn)UZZ出來(lái)application/json的content-type頭可?。

現(xiàn)在很簡(jiǎn)單了，構(gòu)造JSON數(shù)據(jù)，繼續(xù)FUZZ JSON數(shù)據(jù)參數(shù)

0X02 SSRF到手

看參數(shù)名字，就大概可以推測(cè)，這個(gè)參數(shù)是加載遠(yuǎn)程圖?的。

經(jīng)測(cè)試gopher，dict，http等常規(guī)協(xié)議都可以使?，之前收集到的spring泄露，下載heapdump，OQL調(diào)試出redis明?密碼

0x03 利?gopher反彈Shell

普及?個(gè)知識(shí)：與未授權(quán)直接訪問(wèn)的redis不同，加?密碼認(rèn)證的redis在命令?鏈接時(shí)會(huì)多?個(gè)-a參數(shù)指定密碼

協(xié)議流量中表現(xiàn)如下

寫(xiě)腳本構(gòu)造gopher數(shù)據(jù)，把Auth加上,后續(xù)常規(guī)操作寫(xiě)計(jì)劃任務(wù)反彈SHELL

接通過(guò)intruder批量跑內(nèi)?的脆弱?段redis，?但成功，則會(huì)寫(xiě)?計(jì)劃任務(wù)。